Nachbetrachtung des Hacks DeFi Protokolls Convergence, bei dem 210.000 US-Dollar erbeutet wurden

Convergence DeFi wurde Opfer eines Hackerangriffs, bei dem Angreifer native Token im Wert von 210.000 US-Dollar sowie nicht beanspruchte Staking-Belohnungen in Höhe von 2.000 US-Dollar erbeuteten. Nach Bekanntwerden des Angriffs warnte Convergence seine Nutzer in einem Beitrag davor, mit dem Protokoll zu interagieren.

Die Sicherheitsplattform PeckShield veröffentlichte die Details des Hacks in einem ihrer X-Posts. Laut dem Post erzeugte der Hacker 58 Millionen CVG-Token. Nach dem Hack wurden die Token in 60 WETH und 15.900 crvFRAX umgewandelt.

Convergence veröffentlicht Nachbesprechung  

Es scheint, als @Convergence_fi gerade ausgenutzt worden (mit einem Verlust von ca. 210.000 US-Dollar), um 58 Millionen $CVG (58.718.395,05681812) zu prägen, die in 60 WETH und 15,9k crvFRAX getauscht wurden.

Der Fehler liegt imtracvon CvxRewardDistributor, der die (nicht vertrauenswürdigen) Benutzereingaben zur Inanspruchnahme von Prämien nicht validiert.

Hier… pic.twitter.com/EOS7q4reUC

— PeckShield Inc. (@peckshield) 1. August 2024

Die Untersuchung ergab, dass die Hauptursache für den Exploit in einer fehlenden Validierung der Benutzereingaben in der Funktion „claimMultipleStaking“ des Belohnungsverteilungsvertrags lagtracLaut Bericht führte der Hacker den schädlichen Vertrag ohne vorherige Validierung des Staking-Vertrags austracDadurchtracer alle für das Staking reservierten Token prägen.

Nach dem Hackerangriff schleuste der Hacker alle neu geschaffenen CVG-Token in Liquiditätspools.

Convergence macht „nachträglicheÄnderungen“ für die Ausnutzung

Convergence Finance erwähnte in seinem Abschlussbericht, dass das Protokoll viermal von verschiedenen Unternehmen geprüft wurde. Allerdings wurde der kompromittierte Teil des Codes nach den Prüfungen kürzlich geändert.

Laut dem Team: „Die Modifikation (zunächst die Gasoptimierung) führte dazu, dass wir die Codezeile entfernt haben, die die Eingabe für die Funktion überprüfte. Wir entschuldigen uns bei unserer Community und unseren Investoren und übernehmen die volle Verantwortung für den Vorfall.“

Das Team versichert jedoch, dass alle Kundengelder sicher sind. Als zusätzliche Vorsichtsmaßnahme forderte es die Anleger außerdem auf, ihre eingesetzten Vermögenswerte abzuheben.

Nach dem Hack wurde auch dertracmissbraucht. Daher können Staker ihre Belohnungen vorerst nicht einfordern. Convergence arbeitet an einer Lösung und wird das Ergebnis in Kürze bekanntgeben.

Die Zahl der Krypto-Hacks hat in letzter Zeit zugenommen. Im Juli wurden in der Branche 16 Krypto-Hacks gemeldet, die zu einem Verlust von über 266 Millionen US-Dollar.